Il sistema di controllo interno Insegnamento Economia dei

Il sistema di controllo interno Insegnamento Economia dei Gruppi e delle Aggregazioni Industriali Prof. ssa Maria Teresa Bianchi

Il sistema di controllo interno Internal control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance. I tre obiettivi principali che presidia il sistema di controllo interno sono: promuovere l’efficacia e l’efficienza delle operazioni, inclusa la salvaguardia del patrimonio aziendale (operations); assicurare l’affidabilità dell’informazione sia interna che esterna, finanziaria e non (reporting); garantire l’adempimento alle leggi ed ai regolamenti applicabili (compliance). 2

Corporate Governance Filosofia del Management e stile operativo 2 Definizione, comunicazione e controllo degli obiettivi di business 3 Attività di controllo Informazioni e Comunicazione Controllo di gestione Controlli di natura operativa Identificazione, valutazione, gestione e monitoraggio dei rischi ing Valutazione dei rischi Struttura organizzativa, poteri e responsabilità Competenza del personale e gestione delle risorse Ambiente di controllo 4 Informazioni e Comunicazione Raccolta e distribuzione delle informazioni Corpo normativo aziendale Segregazione compiti e livelli autorizzativi (SOD) Controlli sui sistemi informativi Sistemi informativi Comunicazione interna ed esterna 5 Monitoraggio di linea (on-going monitoring) Monitoraggio Indipendente (separate evaluation) 3 Società Direzione Unità operativa Funzione Integrità e valori etici Co mp lia nc e Ambiente di controllo Re po rt 1 Op er ati v i Il sistema di controllo interno

Il sistema di controllo interno Co. SO Report III (2013) Varianti ambientali che hanno causato l’aggiornamento del Co. SO Report I Cambiamenti rispetto al Co. SO Report I Esplicitazione di 17 principi di controllo per disporre un sistema di controllo più efficace Ampliamento degli obiettivi operativi e di reporting Cambiamento dei contesti di business e di operatività Cosa non è cambiato nel Co. SO Report III: 1. la definizione di controllo interno; 2. gli obiettivi e le cinque componenti del controllo interno, indispensabili per garantire un sistema efficace; 3. l’importanza del giudizio professionale nel definire, implementare e gestire il controllo interno e nel valutarne la sua efficacia 4

Il sistema di controllo interno 1 2 3 4 5 Ambiente di controllo L’ambiente di controllo è l’insieme di diversi elementi che concorrono in maniera integrata a determinare l'ambiente nel quale le persone operano, indirizzandone le attività nell'ambito delle responsabilità attribuite, e favorendo l'assunzione delle decisioni volte al raggiungimento degli obiettivi aziendali. 1. L'organizzazione dimostra attenzione verso l'integrità e i valori etici; 1 Ambiente di controllo Integrità e valori etici Corporate Governance Filosofia del Management e Stile Operativo Struttura organizzativa, poteri e responsabilità 2. Il Cd. A si dimostra indipendente dal management ed esercita l'attività di supervisione sullo sviluppo, gestione e mantenimento del sistema di controllo interno; 3. Il management, con la supervisione degli Organi di controllo, stabilisce la struttura, le linee di reporting e appropriati poteri e responsabilità allo scopo di perseguire gli obiettivi prefissati; 4. L'organizzazione dimostra attenzione verso lo sviluppo ed il mantenimento delle competenze dei singoli individui in linea con gli obiettivi prefissati; 5. L'organizzazione individua i soggetti responsabili del controllo interno allo scopo di perseguire i propri obiettivi. Competenza del personale e gestione delle risorse 5

Il sistema di controllo interno 1 2 3 4 5 Ambiente di controllo Integrità e valori etici: influenzano le priorità, i giudizi di valore e lo stile del management nel definire e realizzare gli obiettivi aziendali. Essi permeano la cultura aziendale e si traducono in regole che non devono essere semplicemente comunicate ma anche abbinate a specifiche indicazioni comportamentali (codici di condotta) e al “buon esempio”. I comportamenti e le performance degli individui devono essere monitorati per verificarne l’aderenza alle regole e ai codici di condotta e per porre tempestivo rimedio in caso di eventuali disallineamenti. 6

Il sistema di controllo interno 1 2 3 4 5 Ambiente di controllo Corporate Governance: individua l'insieme delle regole e delle procedure in cui si sostanzia il sistema di direzione e controllo della società e definisce i ruoli, poteri e responsabilità di direzione ed attuazione delle strategie d'impresa, ne individua le relative forme di controllo e pubblicità. Tali regole devono assicurare l'affidabilità del management e l'equo bilanciamento tra il suo potere e gli interessi degli azionisti/stakeholders, nonché la trasparenza delle decisioni gestionali e degli eventi societari che possono influenzare il corso degli strumenti finanziari emessi. Particolare importanza riveste la composizione ed in particolare la presenza di consiglieri indipendenti, le competenze e la relativa valutazione periodica, i requisiti morali, l’impegno e la supervisione dei membri del Cd. A su tutte le componenti del sistema di controllo interno. 7

Il sistema di controllo interno 1 2 3 4 5 Ambiente di controllo Filosofia del Management e stile operativo: rappresentano i principi generali che caratterizzano le modalità con cui l’impresa viene gestita, incluso il livello di rischio accettato, e influenzano l’attitudine e le scelte del management nel perseguire gli obiettivi aziendali e nel rappresentarne i relativi risultati, così come nel gestire le situazioni di condotta scorretta e non in linea con le politiche, le procedure e i codici di condotta. 8

Il sistema di controllo interno 1 2 3 4 5 Ambiente di controllo Struttura organizzativa, poteri e responsabilità: la struttura organizzativa fornisce il framework all’interno del quale pianificare, eseguire, controllare e monitorare le attività d’impresa. Definisce le aree chiave di autorità e responsabilità e stabilisce appropriate linee di riporto per garantire l’adempimento di tali responsabilità e fornire le informazioni relative alla gestione delle attività aziendali. Il management periodicamente valuta l’adeguatezza e l’efficacia della struttura e delle linee di riporto in relazione al sistema di controllo interno. L’assegnazione di poteri e responsabilità riguarda il livello fino al quale singole persone o strutture organizzative sono autorizzate ed incoraggiate ad agire per garantire il perseguimento degli obiettivi prefissati, nonché i limiti alla loro autorità. Le responsabilità generalmente sono ripartite su tre livelli, le tre linee di difesa contro il rischio di mancato raggiungimento degli obiettivi aziendali. Il Cd. A supervisiona tutti e tre i livelli di controllo. Ruoli e responsabilità: Le unità, ruoli, posizioni organizzative e le responsabilità definite dal sistema organizzativo sono formalizzate in documenti organizzativi (funzionigramma, ordini di servizi, comunicazioni organizzative, job description, ecc. ). Il sistema dei poteri prevede il conferimento di: Procure, per assumere diritti e obblighi per conto dell’azienda nei confronti di terzi e Deleghe, per operare internamente all’azienda. 9

Il sistema di controllo interno 1 2 3 4 5 Ambiente di controllo Competenza del personale e gestione delle risorse umane: Le competenze sono rappresentate dalla conoscenza e dalle capacità necessarie per portare a termine i compiti assegnati. Il management decide il livello qualitativo (requisiti di conoscenza e capacità tecniche) richiesto anche in funzione degli obiettivi aziendali e/o di processo e dei piani strategici. Al fine di attrarre, sviluppare e mantenere in azienda personale competente ed affidabile il management definisce le politiche e le procedure per la gestione delle risorse umane, ovvero le modalità con cui gestire le assunzione, i piani di carriera, la formazione, le valutazioni delle performance, gli incentivi (sia economici che non), le remunerazioni e piani di successione per i ruoli chiave del sistema di controllo interno. 10

Il sistema di controllo interno 1 2 3 4 5 Valutazione dei rischi La valutazione dei rischi consiste nell’individuare e analizzare gli eventi interni ed esterni che potrebbero verificarsi e pregiudicare il raggiungimento degli obiettivi aziendali al fine di prevedere e implementare iniziative utili al loro contenimento. 2 Valutazione dei rischi Definizione, comunicazione e controllo degli obiettivi di business 6. L'organizzazione individua gli obiettivi rilevanti con sufficiente chiarezza al fine di permettere l'identificazione e la valutazione dei rischi, in relazione agli obiettivi prefissati; 7. L'organizzazione identifica i rischi nel raggiungimento dei propri obiettivi e li analizza in modo tale da determinare come questi debbano essere gestiti; 8. L'organizzazione considera le possibili/potenziali fattispecie di frode nella valutazione dei rischi per il perseguimento dei propri obiettivi; 9. L'organizzazione identifica e valuta modifiche significative che potrebbero impattare sul sistema di controllo interno. Identificazione, valutazione, gestione e monitoraggio del rischio 11

Il sistema di controllo interno L’ERM è nato con l’obiettivo di definire un framework, complementare al Co. SO report, specifico per l’implementazione del processo di gestione dei rischi. Le principali differenze rispetto al Co. SO report sono: § introduzione di un obiettivo aggiuntivo, quello strategico, che opera ad un livello più elevato rispetto alle altre categorie di obiettivi (operations, reporting, compliance) § nell’ambito della componente “definizione degli obiettivi”, introduzione dei concetti di risk appetite (livello di rischio che la società decide di accettare perseguire la propria mission/vision) e risk tolerance (livello accettabile di scostamento rispetto al raggiungimento degli obiettivi); § espansione della componente “valutazione dei rischi” in tre componenti (identificazione degli eventi, valutazione dei rischi, risposta al rischio) ERM 2017 12

Il sistema di controllo interno 1 2 3 4 5 Valutazione dei rischi Definizione, comunicazione e controllo degli obiettivi di business: Gli obiettivi costituiscono i traguardi verso i quali l’azienda si dirige e alloca al tal fine le sue risorse. La loro declinazione all’interno dei vari livelli aziendali, in coerenza con le strategie aziendali definite, costituisce la base per la valutazione dei rischi e la definizione delle attività di controllo. A tal fine, gli obiettivi devono essere chiari, misurabili e conosciuti dal personale a tutti i livelli affinché possano costituire una guida efficace per il loro operato. Obiettivi strategici: devono essere allineati alla mission aziendale e la devono supportare. Riflettono la scelta del management di come l’azienda si adopera per creare valore per i suoi stakeholders Obiettivi operativi: riguardano l’efficacia e l’efficienza delle attività operative aziendali, inclusi i livelli di performance, di redditività e di protezione delle risorse da eventuali perdite Obiettivi di reporting: si suddividono in: • obiettivi relativi all’informativa di bilancio esterna • obiettivi relativi all’informativa non finanziaria esterna • obiettivi di reporting interno Obiettivi di conformità: riguardano la conduzione delle attività aziendali in osservanza delle leggi e dei regolamenti applicabili all’azienda 13

Il sistema di controllo interno 1 2 3 4 5 Valutazione dei rischi Identificazione, valutazione, gestione e monitoraggio del rischio: La definizione e la realizzazione delle strategie e degli obiettivi aziendali non può prescindere dall’identificazione e valutazione dei rischi che possono minacciarne il raggiungimento. Tuttavia nel processo di identificazione e valutazione dei rischi occorre tenere in considerazione quelle che sono “opportunità”, ovvero eventi che potrebbero verificarsi e condizionare positivamente il raggiungimento degli obiettivi e che pertanto comporta un revisione degli obiettivi stessi. Valutazione dei rischi Attraverso la valutazione combinata di Impatto e probabilità sono misurati Rischio inerente: in assenza di azioni che possono mitigarne l’impatto e/o la probabilità Rischio residuo: ciò che rimane dopo l’implementazione delle azioni di mitigazioni Trattamento dei rischi Azioni di risposta: • accettarlo, nessuna azione per ridurne impatto e/o probabilità • evitarlo, rinunciare alle attività che comportano il rischio • ridurlo, porre in atto azioni per ridurne impatto e/o probabilità • condividerlo, ridurre impatto o probabilità trasferendo o condividendo parte del rischio 14

Il sistema di controllo interno 1 2 3 4 5 Attività di controllo Le attività di controllo sono l’insieme delle attività poste in essere per mitigare i rischi che minacciano il raggiungimento degli obiettivi identificati. Tali attività si attuano a tutti i livelli della struttura organizzativa, sia all’intera società che ai singoli processi. 3 Attività di controllo Controllo di Gestione Controlli di natura operativa 10. L'organizzazione identifica, implementa e monitora le attività di controllo che possono contribuire a ridurre ad un livello accettabile il rischio del mancato raggiungimento dei propri obiettivi; 11. L'organizzazione identifica, implementa e monitora i controlli generali IT per supportare il raggiungimento dei propri obiettivi; 12. L'organizzazione esplicita le attività di controllo attraverso le policy, che individuano gli obiettivi, e procedure, che definiscono le azioni da mettere in atto. Corpo normativo aziendale Segregazione compiti e livelli autorizzativi (SOD) Controlli sui sistemi informativi 15

Il sistema di controllo interno 1 2 3 4 Attività di controllo Ampiezza Tempistica Modalità Controlli specifici: applicabili a specifiche attività o transazioni Controlli preventivi: progettati per prevenire eventi o risultati non desiderati (es. limite autorizzativo a sistema) Controlli manuali: eseguiti manualmente o su supporti di office (es. inventario) Controlli pervasivi: applicabili a tutti i processi/attività Controlli successivi: progettati per identificare a posteriori eventi o risultati non desiderati (es. riconciliazioni dei dati) Controlli automatici: eseguiti dall’applicativo di sistema nello svolgimento di determinate transazioni (es. campi obbligatori) 16 5

Il sistema di controllo interno 1 2 3 4 5 Attività di controllo Controllo di gestione: inteso come l’insieme degli strumenti organizzativi e metodologici con cui il management effettua l’analisi e la misurazione dei risultati delle attività rispetto (i) agli obiettivi declinati nel budget e (ii) agli indicatori di performance, per determinare in che misura gli obiettivi siano stati conseguiti nonché individuare le cause di eventuali scostamenti e le conseguenti azioni correttive. Controlli di natura operativa: sono intesi come l’insieme dei controlli specifici (autorizzazioni, verifiche, controlli fisici, riconciliazioni, quadrature, esame degli indicatori, analisi, studi, benchmarking, ecc. ) posti dal management a presidio delle attività e delle transazioni per assicurare il conseguimento degli obiettivi previsti. Corpo normativo aziendale: il management, mediante il sistema normativo aziendale definisce le attività di controllo e le relative responsabilità e livello di competenza necessario, periodicità, modalità di svolgimento, azioni correttive. 17

Il sistema di controllo interno 1 2 3 4 5 Attività di controllo Segregazione dei compiti e livelli autorizzativi (SOD): la SOD è definita con l’obiettivo di evitare che un dipendente (o gruppo di dipendenti) abbia il controllo esclusivo su una o più attività tale da facilitare la commissione o l’occultamento di errori e frodi. La SOD si attua, oltre che con strumenti a carattere organizzativo, anche mediante separazioni fisiche e la definizione di profili di accesso ai sistemi e ai dati coerenti con i ruoli assegnati alla funzione. Laddove per motivi di costo o non fattibilità non è possibile garantire la segregazione, il management deve istituire controlli compensativi. Controlli sui sistemi informativi: sono volti ad assicurare il corretto e continuo funzionamento dei sistemi informatici e includono: • General Computer Controls (GCC), afferenti sviluppo, manutenzione e operatività dei sistemi applicativi, delle infrastrutture di supporto, le reti di comunicazione, i piani di contingency o disaster recovery • controlli sul software di sistema (sistema operativo, software di rete e di sicurezza, ecc. ) • controlli di accesso ai sistemi e ai dati • controlli sui sistemi applicativi (programmi, interfacce, ecc. ). 18

Il sistema di controllo interno 1 2 3 4 5 Informazioni e Comunicazione Per gestire l’Azienda e dirigerla verso il perseguimento dei suoi obiettivi è necessario che le informazioni rilevanti siano ampiamente comunicate, diffuse e condivise a tutti i livelli aziendali in modo tempestivo, accurato e completo e possano costituire il riferimento per il processo decisionale e operativo. L'insieme delle informazioni utilizzate, prodotte ed elaborate dall'azienda nell'esecuzione dei processi aziendali, delle modalità con cui esse sono gestite e delle risorse, sia umane, sia tecnologiche, coinvolte costituiscono il sistema informativo aziendale. Il sistema informativo deve garantire l’integrità, la disponibilità e la riservatezza delle informazioni gestite. 4 Informazioni e Comunicazione Raccolta e distribuzione delle informazioni Sistemi informativi 13. L'organizzazione ottiene o genera e utilizza informazioni rilevanti e di qualità per sostenere il funzionamento del sistema di controllo interno 14. L'organizzazione trasmette le informazioni interamente, includendo anche obiettivi e responsabilità necessari per supportare il funzionamento del controllo interno 15. L'organizzazione comunica con le parti esterne, per le questioni che riguardano il funzionamento del controllo interno Comunicazione interna ed esterna 19

Il sistema di controllo interno 1 2 3 4 5 Informazioni e Comunicazione Raccolta e distribuzione delle informazioni: le informazioni rilevanti interne ed esterne devono essere tempestivamente identificate, raccolte, elaborate e comunicate all’interno dell’organizzazione. Le informazioni generate devono presentare un adeguato livello di qualità, ovvero devono essere tempestive, aggiornate, accurate, complete, accessibili, verificabili e protette. Sistemi informativi: consentono di identificare, raccogliere e diffondere i dati aziendali necessari alla gestione e al controllo delle attività e alla predisposizione delle informative di bilancio. I sistemi sono progettati anche per supportare l’attuazione di iniziative legate alle strategie aziendali e i sistemi devono essere integrati con l’attività operativa aziendale (Enterprise Resource Planning – ERP), consentendo di controllare i processi e di seguire e registrare in tempo reale le transazioni, permettendo spesso di automatizzare molte operazioni. 20

Il sistema di controllo interno 1 2 3 4 5 Informazioni e Comunicazione La comunicazione serve a rendere disponibili le informazioni necessarie per adempiere alle responsabilità relative al sistema di controllo interno. La comunicazione è rivolta sia all’interno che all’esterno dell’organizzazione. Comunicazione interna: è importante che sia effettuata la comunicazione top down a tutto il personale sull’importanza e gli aspetti peculiari del sistema di controllo interno, sui ruoli e le responsabilità connessi e che siano operativi i flussi di comunicazione bottom up di informazioni rilevanti (ad es. la comunicazione tra il management e il Cd. A e i suoi comitati). Comunicazione esterna: sono importanti sia le informazioni in entrata (ad es. informazioni sui rischi e i controlli interni da parte dei revisori esterni, dei clienti e fornitori) che quelle in uscita (ad es. le comunicazioni ai soci, agli stakeholders, ai business partners, alle Autorità di vigilanza, agli analisti finanziari, ecc. ). Deve esistere anche un canale di comunicazione dedicato che garantisce in forma anonima o confidenziale la ricezione di informazioni, sia dall’interno dell’azienda che dall’esterno, su problematiche/carenze del sistema di controllo interno (ad es. i canali di whistle-blowing). 21

Il sistema di controllo interno 1 2 3 5 4 Monitoraggio Il monitoraggio è l’insieme delle attività volte a verificare che il sistema di controllo, in tutte le sue componenti, sia correttamente disegnato ed operativo; si concretizza in un’attività di supervisione continua ed in valutazioni a carattere specifico svolte periodicamente. L’ambito e la frequenza delle attività di monitoraggio dipendono dalla significatività dei rischi e dall’efficacia dei controlli posti a loro presidio. Le eventuali carenze del sistema di controllo individuate nel corso delle attività di monitoraggio devono essere analizzate e comunicate tempestivamente ai fini dell’implementazione di azioni correttive (riesame). 5 Monitoraggio di linea (ongoing monitoring) 16. L'organizzazione identifica, sviluppa ed effettua attività di monitoraggio di linea ("on going evaluation") e di monitoraggio indipendente ("separate evaluation") per verificare se le componenti del controllo interno sono presenti e funzionanti; 17. L'organizzazione valuta e comunica le proprie carenze sul controllo interno, in maniera tempestiva ai soggetti responsabili per le necessarie azioni correttive, inclusi senior management e Cd. A. Monitoraggio Indipendente (separate evaluation) 22

Il sistema di controllo interno 1 2 3 5 4 Monitoraggio di linea (ongoing monitoring activities): è costituito dalle attività volte a verificare che i controlli specifici e pervasivi disegnati dal management al fine di ridurre ad un livello accettabile i rischi identificati sui processi di riferimento, siano operativi ed efficaci. Le responsabilità (di norma attribuite al personale e ai responsabili che operano nei processi e che ha le conoscenze e competenze adeguate), i contenuti, la frequenza, le modalità delle attività di monitoraggio di linea (manuali o automatiche) sono espressamente previsti nell’ambito delle procedure che regolano i relativi processi Monitoraggio indipendente (separate evaluations): è costituito dalle attività svolte con l’ausilio di una funzione indipendente rispetto alla linea ed ha l’obiettivo di verificare l’operatività e il disegno del SCI nel suo complesso, ivi incluso il monitoraggio di linea. L’ambito e la frequenza del monitoraggio indipendente sono valutati in funzione dei rischi esistenti sul processo, nonché dell’efficacia e dell’ampiezza del monitoraggio di linea. Il Monitoraggio indipendente è spesso attribuito all’internal audit (terzo livello di controllo) che fornisce assurance indipendente e obiettiva sull’adeguatezza ed effettiva operatività del sistema di controllo interno, incluso il monitoraggio di linea. 23

Il sistema di controllo interno La valutazione del SCI Principale regolamentazione di riferimento in cui è disciplinata la valutazione del SCI ed il correlato ruolo della funzione Internal Audit: • Circolare n. 285/2013 di Banca d’Italia (Parte I, titolo IV capitolo 3 Il Sistema dei controlli interni) L’Internal Audit valuta periodicamente la completezza, l’adeguatezza, la funzionalità e l’affidabilità del Sistema dei Controlli Interni (SCI). • Codice di Autodisciplina di Borsa Italiana (Art. 7 – Sistema di controllo interno e di gestione dei rischi) Il responsabile della funzione di internal audit è incaricato di verificare che il sistema di controllo interno e di gestione dei rischi sia funzionante e adeguato. Le relazioni periodiche predisposte dal responsabile della funzione di internal audit contengono una valutazione sull’idoneità del sistema di controllo interno e di gestione dei rischi. • Regolamento IVASS n. 38/2018, (Parte II, titolo III Capo I Sistema di controllo interno) La Funzione di revisione interna è incaricata di valutare e monitorare l’efficacia, l’efficienza e l’adeguatezza del sistema di controllo interno. 24

Il sistema di controllo interno La valutazione del SCI Approccio di valutazione bottom up dei Principi fondamentali previsti dal Co. SO Report, cui segue la valutazione di ciascuna Componente e la Valutazione complessiva del SCI. 17 Principi Valutazione sull’esistenza e il funzionamento dei 17 Principi fondamentali, sottostanti ai vari componenti del SCI, sulla base di elementi di valutazione specifici del contesto societario 5 Componenti § Valutazione sull’esistenza e il funzionamento di ciascuna componente sulla base della valutazione dei Principi fondamentali associati a ciascuna di esse § Individuazione di eventuali carenze/aree di miglioramento relative a ciascuna componente SCI complessivo Valutazione complessiva del SCI e individuazione di eventuali aree di miglioramento sulla base delle valutazioni di esistenza e funzionamento integrato di tutte le componenti 25